Le site de financement participatif spécialisé dans le crowdfunding artistique Patreon a été piraté. Les cybercriminels ont dérobé plus de 15 Go de données en ligne parmi lesquelles figurent des mots de passe, des montants de dons ou encore du code source.
Dans un premier temps, le site Patreon.com affirme avoir été victime d’une tentative de piratage le 28 septembre 2015 mais que peu de données ont été dérobées, que les mots de passe sont fortement chiffrés et que en somme, ce n’est pas grave ! La déclaration officielle de Jack Conte, le PDG de Patreon est visible ici.
Mais voila, il se trouve que les données ont été rapidement publiées par les pirates sur différents sites et plusieurs chercheurs en sécurité, parmi lesquels Troy Hunt, le fondateur du service spécialisé Have I Been Pwned, ont confirmé qu’elles provenaient bien des serveurs de Patreon, un site de financement participatif pour les créateurs lancé en 2013. Cité par Ars Technica, Troy Hunt a indiqué avoir récupéré 2,3 millions d’adresses mails dont la sienne.
Parmi les 16 Go de données volées figure une partie du code-source de Patreon, ce qui suggère que les pirates auraient eu accès aux serveurs Web du site. Mais les coupables restent encore inconnus, si ce n’est par leur signature dans le dossier README des données volées : #SuperExtremeShitPostingTeam.
Les mots de passe des comptes utilisateurs sont chiffrés avec la méthode bcrypt, étant jugé comme fiable. Par contre, si les pirates possèdent le code source des programmes internes du site, il se pourrait que ces derniers puissent arriver à augmenter leurs chances de cracking. Quoi qu’il en soit, Troy Hunt affirme dans un tweet que : « Tout ce qui devait être privé est maintenant public ».
A noter que cette affaire démontre encore une fois la tendance d’une société à minimiser les faits, pourtant démontrés critiques, voir même jusqu’à déclarer publiquement que tout va bien alors que l’intégralité de la base de données se retrouve en pâture sur le Net… Qui a dit que cela rappelle ce qui s’est passé avec Ashley Madison ? Pour le moment en tout cas, le mutisme officiel de Patreon reste de rigueur devant les nouveaux détails dévoilés par Troy Hunt. Affaire à suivre.
Les commentaires sont fermés.